Перейти к содержанию
red_eye

Блокирование устройств не работает при загрузке в безопасном режиме

Recommended Posts

red_eye

Столкнулся со следующей проблемой.

Если компьютер с SEP клиентом загрузить в safe mode и подключить к нему флешку, которая еще не была заблокирована в рабочем режиме, то она не блокируется, а прекрасно работает. Если флешка уже один раз заблокировалась, то и в safe mode она также блокируется.

Версия клиента 11.0.5002.333, ОС клиента Win XP SP3.

Что можно с этим сделать? Отключать возможность загрузки в безопасном режиме не хотелось бы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shell
Столкнулся со следующей проблемой.

Если компьютер с SEP клиентом загрузить в safe mode и подключить к нему флешку, которая еще не была заблокирована в рабочем режиме, то она не блокируется, а прекрасно работает. Если флешка уже один раз заблокировалась, то и в safe mode она также блокируется.

Версия клиента 11.0.5002.333, ОС клиента Win XP SP3.

Что можно с этим сделать? Отключать возможность загрузки в безопасном режиме не хотелось бы.

В безопасном режиме (в смотря каком) большинство драйверов и служб не грузятся. Для этого он и безопасный. То что она "заблокирована" - это означает то что sep её не разблокировал, не загрузился... Делайте выводы.

Проще всего - отключить safe mode. Либо отключать возможность загрузки с поддержкой сети и пароль лок админа им не говорить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
red_eye
То что она "заблокирована" - это означает то что sep её не разблокировал, не загрузился... Делайте выводы.

К сожалению, из такой игры слов очень трудно делать выводы.

Тех. поддержка Symantec говорит, что Application and Device Contorol не поддерживается в режиме safe mode, что конечно, очень жаль.

Однако, как я понял из опытов с SEP, устройства уже включенные в список заблокированных администратором устройств, блокируются и в Safe mode.

Проще всего - отключить safe mode. Либо отключать возможность загрузки с поддержкой сети и пароль лок админа им не говорить.
похоже это единственное, что можно сделать. Однако это не поможет для пользователей имеющих права локального админстратора, они смогут и восстановить возможность загрузиться в safe mode и создать локального пользователя, чтобы залогиниться без загрузки с поддержкой сети. Для таких пользователей останется только использовать дополнительный софт типа devicelock, а от него как раз хотелось избавиться, оставив только SEP.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shell

red_eye, на уровне сейф моде не предусматривалась защита. На то он в принципе и сейф - чтобы загрузиться систему голую. У девайс лока - да, работает он там. Но там сервису имунку сделали хорошую. В случае проблем с ПО - будет оч тяжко что то сделать с восстановлением. Сейф моде, равно как и опечатывание системников, лежит несколько на разных уровнях обеспечения ИБ. Если пользователи обладают правами локального админа - ситуация страшнее нежели с сейф моде. Советую начать с неё.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • PR55.RP55
      Microsoft  в Win11 ( на канале Dev.) - добавила новую функцию, позволяющую получить полный список приложений, которые в последнее время запрашивали доступ к конфиденциальной информации, включая камеру, микрофон и контакты. Новая функция также отслеживает программы, получившие за последнюю неделю доступ к данным местоположения, телефонным звонкам, переписке и скриншотам. https://www.comss.ru/page.php?id=10641 Возможно функция (  или её дальнейшее развитие ) будут полезны.      
    • Vvvyg
      Ну, хоть что-то полезное на форуме появилось ) Почистил.
    • akoK
      А куда все разбежались? Зашел, а тут все спамом затянуто.
    • PR55.RP55
      По всей видимости uVS не всегда может получить доступ к: Hosts Нужно чтобы в Лог писалась информация: "Нет доступа  к Hosts " Вроде сейчас uVS  соответствующих записей не создаёт?
    • PR55.RP55
      " 12 апреля 2022 года компания Microsoft опубликовала информацию о новом вредоносном ПО под названием Tarrask. Угроза использует баг планировщика Windows, чтобы избежать обнаружения. " " Tarrask удаляет значение дескриптора безопасности (Security Descriptor, SD) задачи в реестре Windows, что приводит к исчезновению задачи из планировщика задач и из инструмента командной строки. " https://www.comss.ru/page.php?id=10384    
×